Mangelnder Datenschutz, Intransparenz und mangelhafte Software: Die Kritik an der zunächst so gefeierten Luca-App reißt nicht ab. Bereits Mitte März hatten IT-Experten und Datenschützer die App massiv kritisiert, der Chaos Computer Club forderte vor wenigen Wochen sogar eine Bundesnotbremse. Nun sprechen sich auch führende IT-Sicherheitsforscher und Kryptologinnen erneut deutlich gegen die Nutzung der Luca-App aus.

Die zentrale Kritik: Die Luca-App erfülle keine der Grundprinzipien derartiger digitaler Werkzeuge wie Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. In einer gemeinsamen Stellungnahme kritisieren die Experten dilettantische Sicherheitslücken und geringen Nutzen, wie „Zeit Online“ berichtet. Der Redaktion lag die Erklärung vorab vor. Mittlerweile ist sie veröffentlicht und hier zu finden.

Mehr zum Thema

 

Dritte Welle verhindern: Hoffnung Corona-Warn-App?

 

Online-Kriminalität: Wie Hacker das Coronavirus nutzen - und wie Sie sich schützen

Hohes Missbrauchspotenzial, gravierende Datenleaks

Wie bereits IT-Experten der Eidgenössischen Technischen Hochschule Lausanne und der Radboud-Universität Nijmegen problematisierten die Wissenschaftler die umfassende Datensammlung von Bewegungs- und Kontaktdaten an zentraler Stelle. Sie berge ein massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks. Solche Systeme seien erfahrungsgemäß kaum vor Angriffen zu schützen, warnen die Sicherheitsforscher – selbst große Unternehmen scheiterten daran, heißt es weiter.

Auch die Ende-zu-Ende-Verschlüsselung ändere daran wenig: „Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzerinnen allein aufgrund der anfallenden Metadaten erstellen lassen“, zitiert „Zeit Online“ aus der Erklärung.

Die Pandemie und wir

Der neue Alltag mit Corona: In unserem Newsletter ordnen wir die Nachrichten der Woche, erklären die Wissenschaft und geben Tipps für das Leben in der Krise – jeden Donnerstag.

Abonnieren

Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.

Geringer Nutzen, fehlende Zweckbindung

Dagegen sei der Hauptnutzen der App – die Digitalisierung von Papierlisten – nicht aufzuwiegen. Im Gegenteil: Durch manipulierte Check-ins – wie kürzlich von Jan Böhmermann demonstriert – steige die Belastung des Gesundheitsamts nur noch, die für die Auswertung zuständig seien.

Auch der Datenschutz steht weiter in der Kritik: „Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf Luca diskutiert“, heißt es laut „Zeit Online“ in der Erklärung. Das heißt: Sollte das Unternehmen die App später für kommerzielle Zwecke nutzen, stehe dem nichts entgegen. Ein „intransparent entwickeltes System“ sei in Betrieb genommen worden und selbst „leicht zu findende Sicherheitslücken“ erst im laufenden Betrieb entdeckt worden, schreibt „Zeit Online“.

Mehr zum Thema

 

„123456“, „iloveyou“ und „schalke04“: Das sind Deutschlands schlechteste Passwörter

 

Künstliche Intelligenz: Kann eine App Corona-Infizierte bald am Husten erkennen?

Dezentral und datenarm

Die Wissenschaftler raten stattdessen zu dezentralen und datensparsamen Systemen, wie der Corona-Warn-App. Auch dort könnten die notwendigen Informationen zur Pandemiebekämpfung erhoben und Gesundheitsämtern zur Verfügung gestellt werden. „Die sichere Speicherung und Verarbeitung von hochsensitiven personenbezogenen Daten ist eine große Herausforderung und sollte idealerweise nicht in einem zentralisierten System erfolgen“, sagt Thomas Schneider, Professor für Cryptography and Privacy Engineering (TU Darmstadt) und Mitunterzeichner. „Wie zahlreiche Datenlecks selbst bei Branchenriesen mit langjähriger Erfahrung in IT-Sicherheit zeigen ist es oft nur eine Frage der Zeit bis solche Daten gestohlen oder missbraucht werden. Dies spricht klar für eine dezentrale Lösung.“

Mehr zum Thema

 

Luca-App trotz anhaltender Kritik auf dem Vormarsch – Entwickler wehren sich gegen Boykottaufruf

 

Staatliche Datenkrake: ein Besuch in Chinas „Big Data Valley“

Unterzeichnet haben die Erklärung laut Zeit Online unter anderem Professorinnen des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum und der TU Darmstadt.

Unternehmen arbeitet an Stellungnahme

Das Unternehmen selbst teilte gegenüber dem RedaktionsNetzwerk Deutschland mit, die Zweckbindung der Daten sei gesetzlich in der DSGVO geregelt und diene alleine der Kontaktnachverfolgung durch die Gesundheitsämter. Der Quellcode sei öffentlich und auch die Datenschutz-Folgeabschätzung (DSFA) werde nach Durchsprache mit der Berliner Datenschutzbehörde „in einer geeigneten Version“ veröffentlicht.

Man habe heute erst von dem Papier erfahren und arbeite an einer umfangreichen Stellungnahme. „Wir bedauern zunächst, dass wir nur aus der Presse von diesem Papier erfahren haben und es uns nicht zur Verfügung gestellt wurde“, sagt Pressesprecher Markus Bublitz. „Wir sind am konstruktiven Austausch mit IT-Forscherinnen interessiert.“